۱۳ آذر ۱۴۰۰
  • Conti
  • ransomware Conti

این صحنه را تصور کنید:‌ سرپرست بخش IT هستید و صبح روز کاری می‌بینید که سیستم‌ها همگی از کار افتاده‌اند و کسی نمی‌تواند کاری با هیچ سیستمی انجام دهد. روی صفحه نمایش کامپیوتر شما یک پیام آمده است که می‌گوید داده‌های شما با باج افزار کنتی (Conti) آلوده شده‌اند و شما باید مقداری باج به حمله‌ کننده‌ها پرداخت کنید تا فایل‌های کدگذاری شده باز شده و داده‌های دزدیده شده حذف شوند.


مطالعه نمایید: انواع بدافزار

باج افزار کنتی




مهم‌ترین کاری که باید انجام دهید: قرنطینه و خنثی‌سازی

اولین کاری که باید انجام دهید تشخیص آن است که آیا حمله همچنان در جریان است یا خیر.

اگر فکر می‌کنید این‌طور است و ابزارهای لازم برای متوقف‌سازی آن را ندارید پس ببینید که کدام دستگاه‌ها آلوده شده‌اند و آن‌ها را سریعا ایزوله کنید. راحت‌ترین روش، جدا سازی کابل شبکه و خاموش کردن روتر بی‌سیم است. اگر که بیشتر از چند عدد دستگاه آلوده شده‌اند پس روش بهتر آن است که در سطح سوییچ، شبکه را از کار انداخته و بخش‌های جداگانه شبکه را به جای دستگاه‌ها از کار بی‌اندازید. فقط در صورتی که این امکان را ندارید سراغ خاموش کردن دستگاه‌ها بروید.



مطالعه نمایید: ۲۰ نمونه جالب از آمار بدافزار

سپس باید میزان خسارت را ارزیابی کنید. ببینید کدام مقاصد و کدام سیستم عامل‌ها و سرویس دهنده‌ها متأثر شده‌اند و چه چیزی از دست رفته است؟ آیا نسخه‌های پشتیبان هنوز برقرار هستند یا این‌که آن‌ها نیز از بین رفته‌اند؟ اگر غیر این است سریعاً یک نسخه کپی آفلاین تهیه کنید. همچنین ببینید کدام ماشین‌ها محافظت شده بودند؟ از این ماشین‌ها می‌توانید به عنوان پله شروع دفاع استفاده کنید.


مطالعه نمایید: با ده شیوه‌ی معمول هک آشنا شوید

در آخر و مهم‌ترین قدم: توصیه می‌کنیم که با افراد در مورد وقایع صحبت کنید اما نه از طریق روش‌های کامپیوتری متداول چون‌که این روش‌ها ممکن است به وسیله مهاجمین شنود شود.

باج افزار کنتی




قدم بعدی: تحقیق و تفحص

پس از آن‌که قرنطینه و خنثی‌سازی را اجرا کردید زمانی را برای تحقیق در مورد این‌که چطور این اتفاق افتاد بگذارید تا حتی‌المقدور از تکرار آن جلوگیری کنید. اگر فکر می‌کنید خودتان به تنهایی از عهده این امر بر نمی‌آیید می‌توانید از افراد متخصص در این زمینه مشورت بگیرید.

  • مهاجمین به احتمال زیاد از روزها یا هفته‌های قبل روی شبکه شما تسلط داشته‌اند.

باج افزار کنتی توسط انسان‌ها اداره می‌شود. به همین دلیل آن افراد زمانی را برای تحقیق و آماده‌سازی اختصاص می‌دهند تا حداکثر اختلال را ایجاد کنند تا بتوانند مبالغ بالاتری باج‌گیری کنند.

  • مهاجمین می‌توانند از روش‌های گوناگونی برای نفوذ به شبکه استفاده کنند.

روش‌های اولیه ممکن برای نفوذ این باج‌افزار شامل مواردی از این دست می‌شود: دیواره‌های آتش ناامن، سرویس‌های بازشده ریموت دسکتاپ و دزدی‌های کلاه‌برداری فیشینگ از طریق رایانامه. (هفت موضوع ایمیل رایج برای فیشینگ) سایت‌هایی نظیر shodan.io می‌توانند اطلاعات نسبی از چیزهایی که یک نفوذگر می‌تواند از شبکه شما بداند بیاموزند.

  • مهاجمین به حساب‌های کاربری سرپرست سیستم و دیگر حساب‌ها دسترسی ایجاد کرده‌اند.

مهاجمین معمولاً طی یک حمله به چندین حساب دسترسی پیدا می‌کنند. هدف نهایی آن‌ها دسترسی به حساب‌های سرپرست دامنه است تا بتوانند حملات باج افزاری را از آن طریق ایجاد کنند. با این حال آن‌ها همچنین حساب‌های کاربری خاص سرپرست‌ها را نیز هدف می‌گیرند که باعث دسترسی به داده‌های حساس و سیستم‌های پشتیبان و کنسول‌های مدیریتی امنیت می‌شوند.

مهاجمین کنتی اغلب از ابزارهایی نظیر Mimikatz استفاده می‌کنند که می‌تواند اطلاعات را از پروسه lass.exe بگیرند که شامل هش نام کاربری و رمز عبور کاربران وارد شده به سیستم می‌باشد. گاهی اوقات مهاجمین این ابزار را در حال اجرا باقی می‌گذارند و سپس عمداً چیزی را روی سیستم مختل می‌کنند که منجر به وارد شدن سرپرست برای انجام تعمیرات می‌شود. با این روش می‌توانند به اطلاعات ورود سرپرست دسترسی پیدا کنند.

اگر ابزار Mimikatz به وسیله نرم‌افزار‌های امنیتی مسدود شود مهاجمین می‌توانند از جایگیزین نظیر Microsoft Process Monitor استفاده کنند که منجر به استخراج اطلاعات حافظه lsass.exe می‌شود و این اطلاعات را به ماشین‌های خود برده و داده‌های مورد نیاز خود را استخراج می‌کنند. با استفاده از این ابزار  Mimikatz می‌توانند رمزهای عبور پیچیده و طولانی را نیز استخراج کنند چرا که مستقیماً روی اطلاعات موجود در حافظه کار می‌کند.

  • همچنین آن‌ها شبکه شما را اسکن می‌کنند. با این اسکن می‌دانند که چند سرویس دهنده و مقصد دارید و در چه جاهایی نسخه‌های پشتیبان و داده‌های حساس تجاری و سازمانی را ذخیره می‌کنید.

یکی از اولین کارهایی که مهاجمین اینترنتی بعد از نفوذ انجام می‌دهند تشخیص میزان دسترسی خود روی ماشین‌های محلی قربانی است. قدم بعدی این است که بفهمند چه ماشین‌های راه دوری وجود دارند و این‌که آیا به آن‌ها دسترسی دارند یا خیر.

مهاجمین از ابزارهای اسکن قانونی نظیر Advanced Port Scanner  استفاده می‌کنند زیرا که مؤثر هستند و بعید است که توسط اشخاص مسدود شود. این ابزارهای اسکن لیستی از آدرس‌های IP و نام‌ ماشین‌ها را در اختیار قرار می‌دهند. این کار را برای مهاجمین آسان می‌کند. زیربناهای حیاتی که معمولاً به وسیله ماشین‌هایی مشخص می‌شوند که نام‌های توضیحی دقیق دارند،‌ برای مثال  NY-DC1 می‌تواند نام یک ماشینی برای کنترل کننده دامنه شهر نیویورک باشد.

  • مهاجمین محتملا درب‌های پشتی را در سیستم‌های شما بارگیری کرده و نصب کرده‌اند تا بتوانند راحت به شبکه شما رفت و آمد کرده و ابزار‌های دیگری نصب کنند.

آن‌ها پوشه‌هایی را جهت ذخیره‌سازی اطلاعات دزدیده شده و کانال‌هایی را برای ایجاد ارتباط با همکارانشان و همچنین هدایت داده‌ها از شبکه شما ایجاد می‌کنند.

این درب‌های پشتی به اشکال گوناگونی ظاهر می‌شوند. بعضی‌ها به مرکز حمله‌کنندگان منتهی می‌شوند که به آن‌ها اجازه صدور دستور برای اجرا روی سیستم‌های قربانی را می‌دهد.

بسیاری از درب‌های پشتی به عنوان برنامه‌های قانونی شناخته می‌شوند. مثلاً مهاجمین ممکن است از ابزاری نظیر ریموت دسکتاپ استفاده کنند تا دسترسی داشته باشند. حتی اگر که پروتکل RDP به شکل پیش‌فرض بسته باشد،‌ برای یک مهاجم که دسترسی سرپرست داشته باشد کاری ندارد تا آن‌ را مجدد فعال نماید.

یک ابزار دیگر متداول anydesk می‌باشد. این به مهاجمین امکان دسترسی مستقیم ماشین قربانی را می‌دهد و این شامل کنترل صفحه‌ کلید و ماوس و همچنین مشاهده صفحه نمایش می‌شود.

یا این‌که می‌توانند از ابزارهای پیشرفته‌ای نظیر Cobalt Strike استفاده کنند که یک ابزار محک‌زنی امنیت پس از حمله می‌باشد. مهاجمین اغلب سعی می‌کنند تا یک به اصطلاح «منور» Cobalt ایجاد کنند تا راحت‌تر بتوانند با سرویس‌دهنده ارتباط برقرار کرده و کنترل ماشین قربانی را حفظ کنند. همچنین می‌توان از این روش برای ایجاد منورهای دیگر در ماشین‌های مرتبط استفاده کرد.

برخی مهاجمین، شامل کنتی، همچنین میانجی‌های Tor ایجاد می‌کنند تا بتوانند ترافیک دستور و کنترل را روی شبکه Tor هدایت کنند. شناسایی این حالت معمولاً بسیار دشوار است.


  • اداره کنندگان کنتی علاوه بر کدگذاری داده و اختلال نرم افزاری و عملیات، سعی خواهند کرد تا صدها گیگابایت داده‌های سازمانی را قبل از حمله اصلی باج افزاری برداشت کنند.

آن‌ها قربانیان را با خطر انتشار داده‌های حساس تهدید می‌کنند مگر این‌که باج پرداخت شود. برخی از داده‌های حساس اغلب به مهاجمین دیگر برای استفاده در حملات دیگر فروخته می‌شود.

پس از آن‌که یک سرویس دهنده فایل شناسایی شد مهاجمین اغلب از ابزاری به نام Everything استفاده کرده که آن‌ها را قادر می‌کند تا عملیات جستجوی سریع فایل روی کل شبکه انجام دهند. مثلاً دنبال عباراتی مثل «حساب کاربری» یا «محرمانه» یا «کد ملی» می‌گردند. پس از شناسایی داده‌ها، روش‌های متفاوتی برای دزدیدن آن‌ها وجود دارد.

مثلاً می‌توانند خیلی راحت به یک سرویس رایانامه آنلاین وصل شوند. وب آن داده‌ها را به جایی مخابره کند یا این‌که می‌توانند یک سرویس دهنده ابری مانند Dropbox را استفاده کنند. همچنین می‌شود از روش FTP استفاده کرد تا داده‌ها را به سرویس دهنده‌های خودشان منتقل کنند.

برخی از بزرگترین دزدی‌های داده‌ها به طور خودکار انجام می‌شوند. مثلاً ممکن است از ابزاری نظیر Rclone استفاده کنند. این یک ابزار مبتنی بر خط فرمان است که به تعداد کثیری از سرویس دهنده میزبانی فایل ابری متصل می‌شود. یکی از آن‌ها سرویس MEGA است که لایه‌های متعدد گمنامی را ارائه می‌کند که باب طبع مهاجمین است. فقط چند تا دستور کافیست تا مهاجمین بتوانند با استفاده از Rclone  داده‌های کامل پوشه‌ها را به MEGA انتقال دهند.


  • آن‌ها تلاش خواهند کرد تا نسخه‌های پشتیبان را کدگذاری یا حذف کنند.

داده‌های پشتیبان شما در معرض دسترسی مهاجمین است مگر آن‌که آن‌ها را به شکل آفلاین ذخیره کرده باشید. نسخه پشتیبانی که همیشه آنلاین باشد تنها یک نسخه دیگر از فایل‌هاست که می‌تواند به وسیله مهاجمین کدگذاری شود.


  • مهاجمین تلاش خواهند کرد تا راه‌کاری‌های امنیتی مورد استفاده شبکه را تشخیص دهند و آن را غیر فعال کنند.

اگر که راحت بتوانند آن را غیر فعال کنند دیگر مهم نیست که راه‌کار امنیتی شما چقدر خوب باشد.

ابزار‌های پیش‌فرض رایگان مانند Windows Defender می‌تواند آن را توسط هرکسی که دارای مجوز سرپرست باشد غیر فعال کند. اکثر روش‌های باج‌گیری جدید همین کار را انجام می‌دهند.

مهاجمین همچنین سعی می‌کنند تا راه‌های دسترسی به کنسول‌های مدیریتی راه‌کارهای امنیتی پیشرفته‌تر را پیدا کنند تا تمام محافظت آن‌ها را از کار بی‌اندازند.

مخصوصاً کنسول‌های مدیریتی امنیتی محلی در معرض خطر هستند چرا که مهاجمین می‌توانند با حساب‌های کاربری دزدیده شده به آن‌ها دسترسی پیدا کنند.


  • قسمت واضح حمله یعنی اجرای باج افزار احتمالاً زمانی انجام شد که هیچ سرپرست یا متخصص امنیتی آنلاین نبود که روند طولانی کدگذاری فایل‌ها را ببیند. مثلاً ممکن است در میانه شب رخ داده باشد.

تا این‌جای کار،‌ مهاجمین سعی داشتند که پنهان بمانند اما حالا تاکتیک آن‌ها عوض می‌شود. حالا می‌خواهند حضورشان را اعلام کنند و این‌که چکار کرده‌اند. می‌خواهند بدانید که چقدر داده از بین رفته است و این‌که بفهمید شخص بدخواهی این کار را کرده که طالب گرفتن پول است تا داده‌ها را برگرداند.

به همین دلیل است که تقریباً در تمام حملات سایبری،‌ فایل‌های کدگذاری شده یک پسوند جدید دارند. مثلاً Myreport.docx تبدیل می‌شود به myreport.docx.encypted . این نشانه‌ها عمداً ایجاد می‌شود تا به میزان اضطراب و آشوب بی‌افزاید.


  • باج افزار به تمام مقاصد اعزام خواهد شد و تمام سرویس دهنده‌هایی که در زمان حمله آنلاین بودند آلوده خواهند شد.

باج افزار مانند یک برنامه عادی به سیستم‌ها اعزام می‌شود. در اکثر حملات به شکل رندم در تمام جهات پخش نمی‌شود. اگر می‌بینید که تنها سرویس دهنده‌ها آلوده شده‌اند و نه مقاصد انتهایی شبکه،‌ این به آن خاطر است که مهاجمین می‌خواستند این‌طور باشد.

باج افزار می‌تواند به طرق گوناگون اعزام و پخش شود. یکی از راه‌های متداول به گمان متخصصان،‌ ترکیبی از اسکریپت‌ها و ابزار PsExec ماکروسافت است که ابزاری برای اجرای دستورات بر روی ماشین‌های دوردست است. یک مهاجم ممکن است که یک اسکریپت ویندوزی ایجاد کند که در چندین آدرس IP بگردد و به وسیله دستور مذکور باج افزار را به هر ماشین اعزام کرده و اجرا کند.

با این‌که اکثر ابزارهای امنیتی جلوی اجرای پروسه مذکور را به شکل پیش‌فرض می‌گیرند اما سرپرستان به خاطر ماهیت سودمند آن، فعالش می‌کنند و متأسفانه مهاجمین نیز از این امر اطلاع دارند.


  • اجرای باج افزار هدف اصلی نیست.

به وسیله درب‌های پشتی که در روند آماده‌سازی ایجاد می‌کنن،‌ مهاجمین می‌توانند همچنان به بررسی وضعیت ادامه داده و حتی رایانامه شما را رصد کنند تا از نحوه پاسخ‌گویی شما با خبر شوند. مثلاً اگر رایانامه‌ای به رئیس می‌فرستید مبنی بر این‌که وضعیت بد نیست چون فلان نسخه‌های پشتیبان روی فلان سرویس دهنده آسیب ندیده‌اند، در این صورت یک فاجعه ممکن است در راه باشد چون مهاجمین می‌توانند آن را بخوانند و مطلع شوند.

مهاجمین همچنین می‌توانند تا لحظه بهبود وضعیت صبر کرده تا حمله دومی را ایجاد کنند تا شما را متقاعد کنند که باج درخواستی را پرداخت کنید.




مدافعان امنیتی چه کار می‌توانند کنند؟

چند قدم پیش‌گیرانه می‌تواند منجر به بهبود امنیت آینده سازمان شود:

  • شبکه را به طور هفت روز هفته و ۲۴ ساعته رصد کنند و دنبال نشانه‌های وقوع حمله باشند.
  • پروتکل اینترنتی RDP را غیر فعال کنند تا دسترسی مجرمین سایبری به شبکه‌ها گرفته شود. اگر که باید از این پروتکل استفاده کنید بهتر است به وسیله یک اتصال VPN باشد و همچنین تأیید اعتبار دو مرحله‌ای نیز فعال باشد.
  • به کارکنان در زمینه نشانه‌های کلاهبرداری اینترنتی و هرزنامه‌های بدخواه آموزش دهید و سیاست‌های امنیتی قوی ایجاد کنید.
  • مرتبا از داده‌های حساس در یک جای امن آفلاین پشتیبان تهیه کنید. توصیه معمول استاندارد این است که نسخه‌های پشتیبان از روش ۱-۲-۳ پیروی کنند: سه تا کپی از داده‌ها، به دو روش متفاوت که یکی از آن‌ها آفلاین باشد.
  • جلوگیری از دسترسی مهاجمین به راه‌کار‌های امنیتی: یک راه‌کار پیشرفته انتخاب کنید که دارای کنسول مدیریتی ابری باشد و همچنین تأیید اعتبار چند مرحله‌ای داشته باشد.
  • یادتان باشد که یک سپر محافظ کامل وجود ندارد و چندین سپر امنیتی لایه‌ای باید ایجاد شود و این سپر چند لایه باید در تمام مقاصد شبکه و سرویس دهنده‌ها ایجاد شود.
  • برنامه پاسخ‌گویی ضربتی داشته باشید و آن را دائماً به روز نگه دارید. اگر فکر می‌کنید از عهده آن بر نمی‌آیید می‌توانید از متخصصین امنیتی این زمینه کمک بگیرید.


نتیجه‌گیری

سر و کله زدن با حملات سایبری می‌تواند یک تجربه پر از استرس باشد. شاید راحت‌ترین روش برخورد یعنی دفع آن و بستن پرونده وسوسه‌انگیز باشد اما حقیقت این است که با این کار بعید است که تمام اثرات حمله را از بین برده باشید. مهم است که زمانی را اختصاص دهید برای شناسایی این‌که مهاجمین چه‌طور وارد شدند و این‌که از اشتباهات درس بگیرید. اگر غیر از این عمل کنید خطر این‌که همان مهاجم دوباره با همان روش وارد شود را با خود حمل می‌کنید.